форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"2950 ограничение трафика по портам vlan access-group"
Сообщение от billy (ok) on 14-Дек-04, 15:18  (MSK)
Смотрел несколько тем, последнюю, наиболее близкую: http://www.opennet.me/openforum/vsluhforumID6/6704.html, но ответа для себя не нашел, а т.к. я сталкиваюсь с кисками раз в пол-года, то спецом в теме не являюсь. Есть 2950 catalyst на ем 24 порта. 1-й в инет (общий) пусть это vlan 1 далее идут 5-10 мелких сетей, которые не должны пересекаться м/у собой, но д. иметь доступ к порту №1 2-й к сети alpha По моим соображениям, он должен быть сконфигурирован так: Switch# configure terminal Switch(config)# interface fastethernet0/2 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 1 Switch(config-if)# end 3-й к сети betta Switch# configure terminal Switch(config)# interface fastethernet0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 1 Switch(config-if)# end и т.д. Но при этом нет запрета на доступ м/у 2-м и 3-м портами. Сначала пробовал сделать отдельный vlan для каждого порта, а порту №1 присвоить членство во всех вланах, но на один порт можно установить только 1 влан. Меня тогда спасло внедрение прокси сервера, но вопрос остался: "5-10 мелких сетей, которые не должны пересекаться м/у собой, но д. иметь доступ к порту №1" Подскажите, плз.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "2950 ограничение трафика по портам vlan access-group"
Сообщение от billy (ok) on 14-Дек-04, 15:37  (MSK)
Есть еще идея, но ее сейчас воплотить не могу, только завтра. configure terminal interface fastethernet0/2 switchport protected end configure terminal interface fastethernet0/3 switchport protected end Согласно документации, A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that is also a protected port. Traffic cannot be forwarded between protected ports at Layer 2; ( from Catalyst 2950 and Catalyst 2955 Switch Software Configuration Guide) Может, это и все? Хотелось бы знать заранее.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от StSphinx (??) on 14-Дек-04, 17:06  (MSK)
	>Есть еще идея, но ее сейчас воплотить не могу, только завтра. > >configure terminal >interface fastethernet0/2 >switchport protected >end > >configure terminal >interface fastethernet0/3 >switchport protected >end > >Согласно документации, >A protected port does not forward any traffic (unicast, multicast, or broadcast) >to any other port that >is also a protected port. Traffic cannot be forwarded between protected ports >at Layer 2; ( from Catalyst 2950 and Catalyst 2955 Switch > >Software Configuration Guide) >Может, это и все? Хотелось бы знать заранее. Варианты: 1) Роутер с ARP-proxy(если имеем клиентов из одной подсети на разных портах) на не protected порту и protected порты у клиентов 2) Роутер терминирующий VLAN'ы , на trunk'e и клиенты в разных VLAN'ах На 2950 это вроде бы все варианты. По обоим случаям можно найти информацию на opennet.ru + cisco.com
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от billy (ok) on 14-Дек-04, 17:27  (MSK)
	>Варианты: > >1) Роутер с ARP-proxy(если имеем клиентов из одной подсети на разных портах) >на не protected порту и protected порты у клиентов >2) Роутер терминирующий VLAN'ы , на trunk'e и клиенты в разных VLAN'ах > > >На 2950 это вроде бы все варианты. >По обоим случаям можно найти информацию на opennet.ru + cisco.com router поставить не имею возможности, а насчет protected port?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от StSphinx (ok) on 14-Дек-04, 17:43  (MSK)
	>>Варианты: >> >>1) Роутер с ARP-proxy(если имеем клиентов из одной подсети на разных портах) >>на не protected порту и protected порты у клиентов >>2) Роутер терминирующий VLAN'ы , на trunk'e и клиенты в разных VLAN'ах >> >> >>На 2950 это вроде бы все варианты. >>По обоим случаям можно найти информацию на opennet.ru + cisco.com > >router поставить не имею возможности, а насчет protected port? С protected port покатит только если у тебя "один порт - одна подсеть", тогда F0/1 должен быть не protected и должно все работать. Если нет(см. про подсети), то нужно иметь роутер с ARP-proxy, чтобы рабочие станции в одной подсети(на разных портах) видели друг друга.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от billy (ok) on 14-Дек-04, 18:00  (MSK)
	порт-сеть. так что надеюсь, можно обойтись protected port. киска у меня 2950 с SI (Standart Image) следовательно, acl-списки с контролем по подсетям здесь не должны пойти. а жалко. Если бы EI то можно было бы настроить фильтр по IP. в общем, завтра попробую. спасибо! PS Если у кого будут мысли на эту тему, пишите :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от billy (ok) on 15-Дек-04, 11:25  (MSK)
	Кстати, еще вот придумал. Только я не уверен, что это будет работать т.к. у меня Catalyst 2950 SI, т.е. уровень 2. так ведь? interface fastethernet 0/2 access-group 2 in swith port access vlan 2 interface fastethernet 0/3 access-group 3 in swith port access vlan 2 access-list 2 permit 192.168.2.0 255.255.255.0 access-list 2 deny any access-list 3 permit 192.168.3.0 255.255.255.0 access-list 3 deny any или это невозможно в принципе на 2950-24(24 порта) SI?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от Изгой (??) on 11-Янв-05, 16:30  (MSK)
	>Кстати, еще вот придумал. Только я не уверен, что это будет работать > >т.к. у меня Catalyst 2950 SI, т.е. уровень 2. так ведь? > >interface fastethernet 0/2 >access-group 2 in >swith port access vlan 2 > >interface fastethernet 0/3 >access-group 3 in >swith port access vlan 2 > >access-list 2 permit 192.168.2.0 255.255.255.0 >access-list 2 deny any >Читаю ответы и удивляюсь ответами.. сам не профи , такое ощущение что здесь редкая птица конкретно помогает , сам ищу всякие интересные варианты на каталисты серии 2900 хл , возможно у тебя и будет работать вариант с акцесс листами но свичи категории 2 не фильтруют вроде бы трафик по IP адресам , у меня ничего не получилась.... А ты не пробывал создать мультивлан ??? к примеру схематично 23 порта это жестко привязаны к одному влану а 24 порт назначить как мультивлан включающий все порты , правда  на этом порту мне как кажется надо настроить маршрутизатор ( можно использовать комп с люниксом и двумя сетевыми карточками) >access-list 3 permit 192.168.3.0 255.255.255.0 >access-list 3 deny any > >или это невозможно в принципе на 2950-24(24 порта) SI?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от StSphinx (??) on 11-Янв-05, 16:52  (MSK)
	>Кстати, еще вот придумал. Только я не уверен, что это будет работать > >т.к. у меня Catalyst 2950 SI, т.е. уровень 2. так ведь? > >interface fastethernet 0/2 >access-group 2 in >swith port access vlan 2 > >interface fastethernet 0/3 >access-group 3 in >swith port access vlan 2 > >access-list 2 permit 192.168.2.0 255.255.255.0 >access-list 2 deny any > >access-list 3 permit 192.168.3.0 255.255.255.0 >access-list 3 deny any > >или это невозможно в принципе на 2950-24(24 порта) SI? Документация говорит, что это возможно, но практика показала,что увы - нет. Так что проще обойтись указанными выше вариантами.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от Spider2k (??) on 12-Янв-05, 08:52  (MSK)
	Есть еще такой изврат: interface fastethernet0/2 (подсети кот др др не видят) switchport protected swith port access vlan 1 interface fastethernet0/3 (подсети кот др др не видят) switchport protected swith port access vlan 1 interface fastethernet0/4 (подсети кот др др не видят) switchport protected swith port access vlan 1 interface fastethernet0/5 по interface fastethernet0/12 swith port access vlan 10 (подсеть альфа) interface fastethernet0/13 по interface fastethernet0/18 swith port access vlan 11 (подсеть бетта) interface fastethernet0/19 по interface fastethernet0/24 swith port access vlan 12 (подсеть гамма) И воткнуть пачкорды: interface fastethernet0/5 в interface fastethernet0/2 interface fastethernet0/13 в interface fastethernet0/3 interface fastethernet0/19 в interface fastethernet0/4 Правда 6 портов пропадет даром....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от Изгой (??) on 12-Янв-05, 12:28  (MSK)
	Может так попробывать , если я правильно понял вопрос, interface fastethernet0/1 switсhport multi vlan 1-23 ( Первый порт - содержит все разделённые вланы и патчем соединяется с прокси сервером тут я ноль ) switchport mode multi   interface fastethernet0/2 (подсети кот др др не видят) swithport access vlan 1 switchport mode access   interface fastethernet0/3 (подсети кот др др не видят) swithport access vlan 2 switchport mode access   и так до 24 порта .. Я сам не испытывал , но интерестно что получиться , будет ли разделение на cisco  и использование одного сервера?? В общем и тут я 0 но надо же когда то что то изучать..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от Nailer on 12-Янв-05, 12:34  (MSK)
	Нету на 2950 мультивиланов. По идее, switchport protected должен спасти гиганта мысли ;-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от Изгой (??) on 12-Янв-05, 12:55  (MSK)
	>Нету на 2950 мультивиланов. По идее, switchport protected должен спасти гиганта мысли >;-) Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в один влан  а так как свич не маршрутизатор , разброс пакетов пойдёт во все порты или я чего то не заметил - обьясните если не сложно в чём соль.. у нас 3 влана отдельных на 3 портах соединяем с 3 портами на которых прописан влан под номером 1 в итоге все становятся общим вланом 1 и трафик летает сквозь VLANы как хочет или я ошибаюсь??? Если учесть что на другой стороне стоит маршрутизатор разбивший сеть на подсети то на  него ляжет отсеивание трафика других подсетей ... Обьясните в чём соль , если можно поподробнее..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от Nailer on 12-Янв-05, 13:09  (MSK)
	>Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в >один влан  а так как свич не маршрутизатор , разброс >пакетов пойдёт во все порты или я чего то не заметил >- обьясните если не сложно в чём соль.. >у нас 3 влана отдельных на 3 портах соединяем с 3 портами >на которых прописан влан под номером 1 в итоге все становятся >общим вланом 1 и трафик летает сквозь VLANы как хочет или >я ошибаюсь??? Нет, не ошибаетесь, но тогда у меня встречный вопрос - нахрена вообще вланы делать, если их потом соединять? Если нужно получить схему "все с первым, никто друг с другом", то все порты ставим в первый влан, аксесс мод, на всех, кроме первого, вбиваем switchport protected, и наслаждаемся. Даже броадкасты не долетают :-) Единственное, от чего таким образом не защитишься - это от подмены ip. Если хотите более гибко разграничивать доступ между подсетями - каждую в свой влан, первый порт в транк, к нему цепляем рутер и рутим на нем, фильтруя acl-ями то, что нам надо. Первый случай подходит под поставленную в первом посте задачу :-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от Изгой (??) on 12-Янв-05, 13:23  (MSK)
	> >>Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в >>один влан  а так как свич не маршрутизатор , разброс >>пакетов пойдёт во все порты или я чего то не заметил >>- обьясните если не сложно в чём соль.. >>у нас 3 влана отдельных на 3 портах соединяем с 3 портами >>на которых прописан влан под номером 1 в итоге все становятся >>общим вланом 1 и трафик летает сквозь VLANы как хочет или >>я ошибаюсь??? > >Нет, не ошибаетесь, но тогда у меня встречный вопрос - нахрена вообще >вланы делать, если их потом соединять? > >Если нужно получить схему "все с первым, никто друг с другом", то >все порты ставим в первый влан, аксесс мод, на всех, кроме >первого, вбиваем switchport protected, и наслаждаемся. Даже броадкасты не долетают :-) >Единственное, от чего таким образом не защитишься - это от подмены >ip. > >Если хотите более гибко разграничивать доступ между подсетями - каждую в свой >влан, первый порт в транк, к нему цепляем рутер и рутим >на нем, фильтруя acl-ями то, что нам надо. > >Первый случай подходит под поставленную в первом посте задачу :-) Да но без соединения портов патчами друг с другом и потерей портов я правильно понял?? то есть interface fastethernet0/2 (общий VLAN свыходом в инет ) switchport protected swith port access vlan 1 interface fastethernet0/3 (подсети кот др др не видят) swith port access vlan 1 switchport mode access   interface fastethernet0/4 (подсети кот др др не видят) swith port access vlan 1 switchport mode access   и так далее по портам.. Получаем все в 1 и никто с друг с другом правильно ??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от Nailer on 12-Янв-05, 15:11  (MSK)
	>> >>>Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в >>>один влан  а так как свич не маршрутизатор , разброс >>>пакетов пойдёт во все порты или я чего то не заметил >>>- обьясните если не сложно в чём соль.. >>>у нас 3 влана отдельных на 3 портах соединяем с 3 портами >>>на которых прописан влан под номером 1 в итоге все становятся >>>общим вланом 1 и трафик летает сквозь VLANы как хочет или >>>я ошибаюсь??? >> >>Нет, не ошибаетесь, но тогда у меня встречный вопрос - нахрена вообще >>вланы делать, если их потом соединять? >> >>Если нужно получить схему "все с первым, никто друг с другом", то >>все порты ставим в первый влан, аксесс мод, на всех, кроме >>первого, вбиваем switchport protected, и наслаждаемся. Даже броадкасты не долетают :-) >>Единственное, от чего таким образом не защитишься - это от подмены >>ip. >> >>Если хотите более гибко разграничивать доступ между подсетями - каждую в свой >>влан, первый порт в транк, к нему цепляем рутер и рутим >>на нем, фильтруя acl-ями то, что нам надо. >> >>Первый случай подходит под поставленную в первом посте задачу :-) > >Да но без соединения портов патчами друг с другом и потерей портов >я правильно понял?? >то есть >interface fastethernet0/2 (общий VLAN свыходом в инет ) >switchport protected >swith port access vlan 1 > >interface fastethernet0/3 (подсети кот др др не видят) > >swith port access vlan 1 > >switchport mode access >interface fastethernet0/4 (подсети кот др др не видят) > >swith port access vlan 1 >switchport mode access >и так далее по портам.. > >Получаем все в 1 и никто с друг с другом правильно ?? > Не так. порты, в конфиг которых вбито switchport protected, взаимно не видят друг друга. Порт, в котором вбито switchport protected, и порт без switchport protected друг друга видят. Вот такой конфиг: conf t interface FastEthernet0/1 (общий) switchport access vlan 1 interface FastEthernet0/2 (приватный) switchport protected switchport access vlan 1 interface FastEthernet0/3 (приватный) switchport protected switchport access vlan 1 interface FastEthernet0/4 (приватный) switchport protected switchport access vlan 1 и т.д. интерфейсы fa0/2, fa0/3, fa0/4 видят в такой конфигурации только fa0/1. fa0/1 видит всех.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от Изгой (??) on 12-Янв-05, 15:45  (MSK)
	>>> >>>>Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в >>>>один влан  а так как свич не маршрутизатор , разброс >>>>пакетов пойдёт во все порты или я чего то не заметил >>>>- обьясните если не сложно в чём соль.. >>>>у нас 3 влана отдельных на 3 портах соединяем с 3 портами >>>>на которых прописан влан под номером 1 в итоге все становятся >>>>общим вланом 1 и трафик летает сквозь VLANы как хочет или >>>>я ошибаюсь??? >>> >>>Нет, не ошибаетесь, но тогда у меня встречный вопрос - нахрена вообще >>>вланы делать, если их потом соединять? >>> >>>Если нужно получить схему "все с первым, никто друг с другом", то >>>все порты ставим в первый влан, аксесс мод, на всех, кроме >>>первого, вбиваем switchport protected, и наслаждаемся. Даже броадкасты не долетают :-) >>>Единственное, от чего таким образом не защитишься - это от подмены >>>ip. >>> >>>Если хотите более гибко разграничивать доступ между подсетями - каждую в свой >>>влан, первый порт в транк, к нему цепляем рутер и рутим >>>на нем, фильтруя acl-ями то, что нам надо. >>> >>>Первый случай подходит под поставленную в первом посте задачу :-) >> >>Да но без соединения портов патчами друг с другом и потерей портов >>я правильно понял?? >>то есть >>interface fastethernet0/2 (общий VLAN свыходом в инет ) >>switchport protected >>swith port access vlan 1 >> >>interface fastethernet0/3 (подсети кот др др не видят) >> >>swith port access vlan 1 >> >>switchport mode access >>interface fastethernet0/4 (подсети кот др др не видят) >> >>swith port access vlan 1 >>switchport mode access >>и так далее по портам.. >> >>Получаем все в 1 и никто с друг с другом правильно ?? >> > >Не так. >порты, в конфиг которых вбито switchport protected, взаимно не видят друг друга. >Порт, в котором вбито switchport protected, и порт без switchport protected >друг друга видят. > >Вот такой конфиг: > >conf t >interface FastEthernet0/1 (общий) >switchport access vlan 1 > > >interface FastEthernet0/2 (приватный) >switchport protected >switchport access vlan 1 > >interface FastEthernet0/3 (приватный) >switchport protected >switchport access vlan 1 > >interface FastEthernet0/4 (приватный) >switchport protected >switchport access vlan 1 > >и т.д. > >интерфейсы fa0/2, fa0/3, fa0/4 видят в такой конфигурации только fa0/1. fa0/1 видит >всех. Вот спасибо большое теперь всё понятно...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "2950 ограничение трафика по портам vlan access-group"
	Сообщение от billy (ok) on 12-Янв-05, 17:27  (MSK)
	Точно! Оригинально! Жалко, что не проверить сейчас. Спасибо!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.